Vulnérabilités dans Google Chrome

Date de publication :

Cette liste de vulnérabilités concerne deux types de failles :

  • La première faille consiste en une erreur d'utilisation de données en mémoire après libération (user after free) dans Google Chrome. Du fait de cette vulnérabilité, un attaquant peut, en incitant un utilisateur à visiter un site web spécialement forgé, exécuter du code arbitraire et provoquer un déni de service.

 CVE-2022-1477[Score CVSS v3.1 : 8.8]
Cette vulnérabilité concerne l’interface de programmation graphique Vulkan.

CVE-2022-1478 [Score CVSS v3.1 : 8.8]
Cette vulnérabilité concerne le moteur de rendu SwiftShader.

CVE-2022-1479 [Score CVSS v3.1 : 8.8]
Cette vulnérabilité concerne le logiciel graphique ANGLE.

CVE-2022-1480[Score CVSS v3.1 : 8.8]
Cette vulnérabilité concerne l’API Device.

CVE-2022-1481 [Score CVSS v3.1 : 8.8]
Cette vulnérabilité concerne la fonction de partage.

  • La deuxième faille concerne un dépassement des limites de la mémoire tampon.

CVE-2022-1483[Score CVSS v3.1 : 8.8]
La vulnérabilité est relative à une vérification incorrecte des limites par le WebGPU. En incitant un utilisateur à visiter un site web spécialement forgé, un attaquant distant peut entraîner un débordement de mémoire tampon afin d’exécuter du code arbitraire sur le système ou de provoquer un déni de service.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

  • Déni de service
  • Exécution de code arbitraire

Criticité

  • Score CVSS v3.1: 8.8 max

La faille est activement exploitée

  • Non, pour l’ensemble des CVE présentées

Un correctif existe

  • Oui, pour l’ensemble des CVE présentées

Une mesure de contournement existe

  • Non, pour l’ensemble des CVE présentées

Les vulnérabilités exploitées sont du type

Pour les CVE-2022-1477, CVE-2022-1478, CVE-2022-1479, CVE-2022-1480 et CVE-2022-1481 :

Pour la CVE-2022-1483 :

Détails sur l’exploitation

Pour l’ensemble des CVE présentées :

  • Vecteur d’attaque : Réseau.
  • Complexité de l’attaque : Faible.
  • Privilèges nécessaires pour réaliser l’attaque : Aucun.
  • Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Oui.
  • L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.

Composants vulnérables

  • Ces vulnérabilités affectent Google Chrome aux versions 70.0.3538.67 et 100.0.4896.127.

Solutions ou recommandations

Mettre à jour Google Chrome aux versions 101.0.4951.41 et suivantes. Des informations supplémentaires sont disponibles ici.

Liens